クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

VAddyが目指す世界と使命

VAddyの開発をしている市川です。

image

今日は、最初の投稿ということで、VAddyが目指す世界と使命の話をしたいと思います。

VAddyは、継続的WEBセキュリティテストサービスです。
http://vaddy.net

CI(継続的インテグレーション)に簡単に組み込めて、開発初期から、リリース後まで常にWebセキュリティ診断を自動で行い、より安全なWebアプリケーションを手軽にリリースできる世界を作りたいと思い立ち上げました。

VAddyは、Vulnerability Assessment is your Buddy(脆弱性診断はあなたの相棒)を省略した造語です。VAddyというサービスが開発者の相棒となってセキュリティ面をサポートするというイメージです。

現在、CIやユニットテスト、受入れテストなど、テストを行う文化がWebアプリケーション開発の中でも根付いてきました。それらは自動でテストが実行され、問題があれば報告されるため、すぐに不具合の発生が分かります。そうして常に不具合の少ないコードがリリースされ、1日に何度もデプロイしたり、大きなリファクタリングにも立ち向かえるようになりました。

コードの不具合は既存のテストでカバーできるようにはなりましたが、セキュリティはどうでしょうか? SQLインジェクションXSSの問題が発生しないコードを注意深く書いてはいるものの、漏れがないかどうか不安になる時はありませんか?
特にプロジェクトが大人数だったり、人員の入れ替わりが激しい現場では全てのコードをチェックしてリリースするのが難しくなりますので、不安に思うことも増えるではないでしょうか。

それらに立ち向かうために、OWASP ZAPやSkipfishなどの脆弱性検査ツールを使っているプロジェクトもあるかとは思いますが、それらは何度も行われるリリースごとに実行できるでしょうか?

それらのツールを扱うノウハウや環境維持をしていくのはコストがかかります。GUIツールのような毎回手動で実行するテストとなると、実行し忘れなども発生します。

やはり、ツール特有の設定が不要なクラウド型のサービスを作り、JenkinsのようなCIツールと連携して、既存のテストと同じようにセキュリティスキャンも回して行くのが理想ではないでしょうか。

誰でも簡単に使え、慣れたリリースサイクルの中で自動実行されて、初めて継続的セキュリティテストの文化が根付くのではないか、我々はその文化を作るために微力ながらサポートしたいという想いからVAddyを作っています。

私としては、VAddyという名前がセキュリティテストを実行するという動詞として使われる世界まで持って行きたいなと燃えております。

Let’s VAddy!!